9
Active Directory Subdomains vs OUs
Hi zusammen,
in unserer Fa. steht die Migration der NT4 Domänen in AD an.
Z.Zt. haben wir 5 NT4 Domänen an verschiedenen Standorten. Zusätzlich viele kleine Aussenstellen die per VPN angebunden sind.
Eine NT4 Domäne entspricht dabei z.Zt. einem eigenen Standort und einer eigenen Firma im Firmenverbund.
Z.Zt. sind wir in der Diskussionsphase ob wir die NT4 Domänen in Subdomains oder in OUs abbilden sollen.
Im Moment tendieren wir dazu, alles in OUs zu legen und nur eine Domäne zu verwenden.
Ich finde kein Definives pro oder contra für die jeweilige Lösung.
Pro OU:
- Leichter Administrationsaufwand da Objekte einfach in den einzelnen OUs verschoben werden können.
- Leichte Delegation der Adminrechte an die Admins der alten NT4 Domänen.
- Eine einzige Anmeldedomäne.
Contra OU:
- Nur eine DNS Domäne (firma.local).
- Beim "Browsing" in der Domäne tauchen alle Clients auf (sehr viel
)
- Gefahr, dass es im Namensraum knallt weil 2 Hosts gleich heißen. (In der Praxis aber nicht der Fall, weil (fast) immer ein Standortkürzel im Namen ist).
Das sind bei uns z.Zt. die Hauptargumente. Jede Lösung hat ihren Reiz.
Hat jemand von euch noch andere Argumente für oder gegen die Lösung mit OUs?
Vielen Dank für euere Kommentare!
in unserer Fa. steht die Migration der NT4 Domänen in AD an.
Z.Zt. haben wir 5 NT4 Domänen an verschiedenen Standorten. Zusätzlich viele kleine Aussenstellen die per VPN angebunden sind.
Eine NT4 Domäne entspricht dabei z.Zt. einem eigenen Standort und einer eigenen Firma im Firmenverbund.
Z.Zt. sind wir in der Diskussionsphase ob wir die NT4 Domänen in Subdomains oder in OUs abbilden sollen.
Im Moment tendieren wir dazu, alles in OUs zu legen und nur eine Domäne zu verwenden.
Ich finde kein Definives pro oder contra für die jeweilige Lösung.
Pro OU:
- Leichter Administrationsaufwand da Objekte einfach in den einzelnen OUs verschoben werden können.
- Leichte Delegation der Adminrechte an die Admins der alten NT4 Domänen.
- Eine einzige Anmeldedomäne.
Contra OU:
- Nur eine DNS Domäne (firma.local).
- Beim "Browsing" in der Domäne tauchen alle Clients auf (sehr viel
)- Gefahr, dass es im Namensraum knallt weil 2 Hosts gleich heißen. (In der Praxis aber nicht der Fall, weil (fast) immer ein Standortkürzel im Namen ist).
Das sind bei uns z.Zt. die Hauptargumente. Jede Lösung hat ihren Reiz.
Hat jemand von euch noch andere Argumente für oder gegen die Lösung mit OUs?
Vielen Dank für euere Kommentare!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55863
Url: https://administrator.de/contentid/55863
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
9 Kommentare
Neuester Kommentar
So ad hoc fallen mir nur zwei Gründe
der rest des beitrags wurde abgeschnitten
der rest des beitrags wurde abgeschnitten
hi,
ich weiss nicht ob ich mich richtig erinnere als ich das mal gelesen habe, aber ich glaube, bei einen der beiden Alternativen ist die Replikation sehr viel größer (nur leider weiss ich nicht mehr genau bei welcher variante). Also ich gehe mal davon aus, dass an euren anderen Standorten DC's stehen oder?
Aber vielleicht mal ein Punkt zum nachschlagen...
mfg, brc
ich weiss nicht ob ich mich richtig erinnere als ich das mal gelesen habe, aber ich glaube, bei einen der beiden Alternativen ist die Replikation sehr viel größer (nur leider weiss ich nicht mehr genau bei welcher variante). Also ich gehe mal davon aus, dass an euren anderen Standorten DC's stehen oder?
Aber vielleicht mal ein Punkt zum nachschlagen...
mfg, brc
für jede Domain möchte ein Admin mindestens 2 Domain Controller haben, falls mal einer ausfällt. Mehr sub-Domains bedeutet mehr DC's also auch mehr arbeit für Backups und Patche. Viele sichtbare Clients war bisher kein Problem, die meisten Benutzer geben den Server namen ein bzw. haben eine verknüpfung zu regelmäßig benutzten Servern.
Gruß Rafiki
Gruß Rafiki
da kam mein Posting wohl nicht richtig an.
Ganz allgemein sollte man ab Windows 2000 m
Ganz allgemein sollte man ab Windows 2000 m
Versuch 3 grr
Ganz allgemein sollte man ab Windows 2000 moeglichst eine Domaene nehmen.
Primaer gibt es zwei Gruende mehrere Domains zu implementieren.
1) man will die Administration der Stadort gut und einfach trennen koennen
2) Man braucht unterschiedliche Kennwortrichtlinien.
Bei einer zentralen Administration kann ich nur dringend zu einer Domaene raten. Das gestaltet sich dann deutlich einfacher.
Die Replikation sollte erst bei sehr hoher Userzahl relavant sein.
Ein oder besser zwei DCs haette ich auch wohl in jedem Standort, auch bei einer Domaene.
Ich weiss nicht was du unter "Browsing" verstehst. Wenn damit die Netzwerkumgebung gemeint ist, die kannst du eh vergessen. Im AD kann man die Computer aber einfach in die OUs verteilen und auch gut und schnell im AD suchen.
Doppelte Hostnamen machen dir auch bei mehreren Domaenen Probleme.
Warum kann man nur eine DNS-Domaene einrichten?
Ganz allgemein sollte man ab Windows 2000 moeglichst eine Domaene nehmen.
Primaer gibt es zwei Gruende mehrere Domains zu implementieren.
1) man will die Administration der Stadort gut und einfach trennen koennen
2) Man braucht unterschiedliche Kennwortrichtlinien.
Bei einer zentralen Administration kann ich nur dringend zu einer Domaene raten. Das gestaltet sich dann deutlich einfacher.
Die Replikation sollte erst bei sehr hoher Userzahl relavant sein.
Ein oder besser zwei DCs haette ich auch wohl in jedem Standort, auch bei einer Domaene.
Ich weiss nicht was du unter "Browsing" verstehst. Wenn damit die Netzwerkumgebung gemeint ist, die kannst du eh vergessen. Im AD kann man die Computer aber einfach in die OUs verteilen und auch gut und schnell im AD suchen.
Doppelte Hostnamen machen dir auch bei mehreren Domaenen Probleme.
Warum kann man nur eine DNS-Domaene einrichten?
Versuch 3 grr
Ganz allgemein sollte man ab Windows 2000
moeglichst eine Domaene nehmen.
Primaer gibt es zwei Gruende mehrere Domains
zu implementieren.
1) man will die Administration der Stadort
gut und einfach trennen koennen
Soweit ich das verstanden habe geht das mit OUs deutlich leichter als in Subdomänen.Ganz allgemein sollte man ab Windows 2000
moeglichst eine Domaene nehmen.
Primaer gibt es zwei Gruende mehrere Domains
zu implementieren.
1) man will die Administration der Stadort
gut und einfach trennen koennen
2) Man braucht unterschiedliche
Kennwortrichtlinien.
Richtig. ist aber bei uns nicht der Fall, und kein Totschlagargument bei uns =)Kennwortrichtlinien.
Bei einer zentralen Administration kann ich
nur dringend zu einer Domaene raten. Das
gestaltet sich dann deutlich einfacher.
Die Replikation sollte erst bei sehr hoher
Userzahl relavant sein.
Was ist sehr hoch? (1200 ca)Userzahl relavant sein.
Ein oder besser zwei DCs haette ich auch
wohl in jedem Standort, auch bei einer
Domaene.
Ich weiss nicht was du unter
"Browsing" verstehst. Wenn damit
die Netzwerkumgebung gemeint ist, die kannst
du eh vergessen. Im AD kann man die Computer
aber einfach in die OUs verteilen und auch
gut und schnell im AD suchen.
Du sagst ich kann die PCs in OUs verteilen. Da ist ja genau der Haken, soll ich sie in Subdomains oder in OUs verteilen (die großen Standorte).
Doppelte Hostnamen machen dir auch bei
mehreren Domaenen Probleme.
Host1.standort1.firma.de
Host1.standort2.firma.de
Netbiosmäßig.. ok
Warum kann man nur eine DNS-Domaene
einrichten?
Annahme ich habe eine Stammdomäne
firma.de
und Subdomänen
standort1.firma.de
standort2.firma.de
Jetzt habe ich PCs in der Subdomäne standort1 und 2
Host1.standort1.firma.de
Host2.standort1.firma.de
Host3.standort2.firma.de
Host4.standort2.firma.de
Dann werden die doch auch so im DNS abgebildet.
Wohingegen bei einer OU lösung:
firma.de/Standort1/Host1 (DNS Eintrag wäre Host1.firma.de)
firma.de/standort1/Host2 (DNS EInträge wäre Host2.firma.de)
firma.de/standort2/Host3
firma.de/standort2/Host4
Daran lässt sich nichts ändern oder?
Thx für die Antworten !!
Gruß Manuel
Was ist sehr hoch? (1200 ca)
Das sollte kein Problem sein. Bei 12.000 würde ich mir Gedanken draüber machen ob es sich lohnt sich Gedanken zu machen.
Schon mal einen user gefragt wie er seinen
server findet? Genau so.. nur wird er bei
einer Liste wo 1000 PCs drin sind keinen
spass haben.
server findet? Genau so.. nur wird er bei
einer Liste wo 1000 PCs drin sind keinen
spass haben.
Einem User weise ich seinen Server zu, den muss er nicht suchen!
Netbiosmäßig.. ok
Na, dann schalte Netbios mal komplett ab..und dann viel Spass.
Daran lässt sich nichts ändern
oder?
oder?
Du kannst doch im DND Server und auch in den DNS Einstellungen (unter den TCP/Ip Einstellungen) des PCs definieren was du willst. Übedre die DHCP Option 015 kannst du den sogar automatisch setzen lassen.
> Was ist sehr hoch? (1200 ca)
Das sollte kein Problem sein. Bei 12.000
würde ich mir Gedanken draüber
machen ob es sich lohnt sich Gedanken zu
machen.
> Schon mal einen user gefragt wie er
seinen
> server findet? Genau so.. nur wird er
bei
> einer Liste wo 1000 PCs drin sind
keinen
> spass haben.
Einem User weise ich seinen Server zu, den
muss er nicht suchen!
Ja schon, nur sagt user1 user2 das er auf server1 sache freigegeben hat.Das sollte kein Problem sein. Bei 12.000
würde ich mir Gedanken draüber
machen ob es sich lohnt sich Gedanken zu
machen.
> Schon mal einen user gefragt wie er
seinen
> server findet? Genau so.. nur wird er
bei
> einer Liste wo 1000 PCs drin sind
keinen
> spass haben.
Einem User weise ich seinen Server zu, den
muss er nicht suchen!
Dann geht user2 in die Liste und sucht dort. (für uns nicht nachvollziehbar, aber die leute machen es (schulungsmangel ;))).
> Netbiosmäßig.. ok
Na, dann schalte Netbios mal komplett
ab..und dann viel Spass.
> Daran lässt sich nichts
ändern
> oder?
Du kannst doch im DND Server und auch in den
DNS Einstellungen (unter den TCP/Ip
Einstellungen) des PCs definieren was du
willst. Übedre die DHCP Option 015
kannst du den sogar automatisch setzen
lassen.
D.h. ich kann clients haben: firma.de/ou1/host1 mit DNS Einträgen host1.ou1.firma.de?
Da ist mir das Zusammenspiel zwischen ldap und DNS nicht ganz klar.
Wann muss der LDAP Namensraum dem DNS entsprechen und wann nicht.
Gruß
Manuel
HALLO? Warum für Administration nicht ein Universelles Domänen-Konto, mit der option Universelles Domänen-Konto???
